《权限获取及提升操作讲解》由会员分享,可在线阅读,更多相关《权限获取及提升操作讲解(80页珍藏版)》请在金锄头文库上搜索。
1、第二篇 网络攻击篇,第8章 权限获取及提升,第8章 权限获取及提升,攻击一般从确定攻击目标、收集信息开始,之后对目标系统进行弱点分析,根据目标系统的弱点想方设法获得权限. 在这一章中将重点讨论攻击者如何获得权限以及如何进行权限的提升。,第8章 权限获取及提升,8.1 通过网络监听获取权限 8.2 通过网络漏洞获取权限 8.3 基于网络账号口令破解获取权限 8.4 通过网络欺骗获取权限 8.5 基于TCP/IP会话劫持获取权限 8.6 实验:口令破解,8.1 通过网络监听获取权限,8.1.1 网络监听的原理 8.1.2 网络监听获取权限 8.1.3 网络监听工具,8.1 通过网络监听获取权限,网
2、络监听是攻击者获取权限的一种最简单而且最有效的方法,在网络上,监听效果最好的地方是在网关、路由器、防火墙一类的设备处,通常由网络管理员来操作。 而对于攻击者来说,使用最方便的是在一个以太网中的任何一台上网的主机上进行监听。网络监听常常能轻易地获得用其他方法很难获得的信息。,8.1 通过网络监听获取权限,8.1.1 网络监听的原理 8.1.2 网络监听获取权限 8.1.3 网络监听工具,8.1.1 网络监听的原理,以太网协议的工作方式为将要发送的数据包发往连在一起的所有主机。在包头中包含着应该接收数据包的主机的正确地址。因此,只有与数据包中目标地址一致的那台主机才能接收信包。 但是当主机工作在监
3、听模式下,可以接收发来的所有数据包。在Internet上,有许多这样的局域网。几台甚至十几台主机通过一条电缆一个集线器连在一起。,8.1.1 网络监听的原理,网卡一般有四种模式: 广播方式:该模式下的网卡能够接收网络中的广播信息。 组播方式:设置在该模式下的网卡能够接收组播数据。 直接方式:在这种模式下,只有目的网卡才能接收该数据。 混杂模式:在这种模式下的网卡能够接收一切通过它的数据,而不管该数据是否是传给它的。,8.1.1 网络监听的原理,当同一网络中的两台主机通信时,源主机将写有目的主机IP地址的数据包发向网关。但是,这种数据包并不能在协议栈的高层直接发送出去。 要发送的数据包必须从TC
4、P/IP协议的IP层交给网络接口,即数据链路层。在网络接口,由IP层来的带有IP地址的数据包又增加了一部分信息:以太帧的帧头。,8.1.1 网络监听的原理,在帧头中,有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址,就是网卡MAC地址,也称为硬件地址或链路地址。 无论是把这块网卡接入到网络的任何地方,MAC地址都是不变的,MAC地址是由一个12位的十六进制组成。网卡MAC地址是与IP地址对应的。,8.1.1 网络监听的原理,一个IP地址,必然对应一个物理地址。对于作为网关的主机,由于它连接了多个网络,因此它同时具有多个IP地址,在每个网络中都有一个IP地址。发向局域网之外的帧中携
5、带的是网关的物理地址。,8.1.1 网络监听的原理,在以太网中,填写了物理地址的帧从网络接口中,也就是从网卡中发送出去,传送到物理的线路上。当使用集线器时,发送出去的信号到达集线器,由集线器再发向连接在集线器上的每一条线路。在物理线路上传输的数字信号也能到达连接在集线器上的每一主机。,8.1.1 网络监听的原理,数字信号到达一台主机的网络接口时,在正常情况下,网络接口读入数据帧,进行检查,如果数据帧中携带的物理地址是自己的,或者物理地址是广播地址,则将数据帧交给上层协议软件,也就是IP层软件,否则就将这个帧丢弃。,8.1.1 网络监听的原理,对于每一个到达网络接口的数据帧,都要进行这个过程。然
6、而,当主机工作在监听模式下,则所有的数据帧都将被交给上层协议软件处理。 局域网的这种工作方式,使得一台计算机能监听在同一个网段所有计算机传输的信息。,8.1.1 网络监听的原理,数字信号到达一台主机的网络接口时,在正常情况下,网络接口读入数据帧,进行检查,如果数据帧中携带的物理地址是自己的,或者物理地址是广播地址,则将数据帧交给上层协议软件,也就是IP层软件,否则就将这个帧丢弃。,8.1.1 网络监听的原理,对于每一个到达网络接口的数据帧,都要进行这个过程。然而,当主机工作在监听模式下,则所有的数据帧都将被交给上层协议软件处理。 局域网的这种工作方式,使得一台计算机能监听在同一个网段所有计算机
7、传输的信息。,8.1.1 网络监听的原理,要使主机工作在监听模式下,需要向网络接口(Interface)发送I/O控制命令,将其设置为监听模式。 在Unix系统中,发送这些命令需要超级用户的权限。这一点限制了在Unix系统中,普通用户是不能进行网络监听的。只有获得超级用户权限,才能进行网络监听。,8.1.1 网络监听的原理,监听是非常消耗CPU资源的,在一个担负繁忙任务的计算机中进行监听,很容易被管理员立即发现,因为这时计算机的响应速度令人惊奇地慢。,8.1.2 网络监听获取权限,目前的绝大多数计算机网络使用共享的通信信道,通信信道的共享意味着,计算机有可能接收发向另一台计算机的信息。 由于I
8、nternet中使用的大部分协议都是很早设计的,许多协议的实现都是基于通信的双方充分信任的基础之上。在通常的网络环境下,用户的所有信息,包括用户名和口令信息都是以明文的方式在网上传输。,8.1.2 网络监听获取权限,对于网络攻击者来说,进行网络监听并获得用户的各种信息并不是一件很困难的事。 当实现了网络监听,获取了IP包,根据上层协议就可以分析网络传输的数据. 例如在POP3协议里,密码通常是明文传递的(假如邮件服务系统没有特别的对密码进行加密的话),在监听到的数据包里可以按照协议截取出密码,类似的协议有SMTP,FTP等。这样便很容易的获取到了系统或普通用户权限。,8.1.3 网络监听工具,
9、对于一台连网的计算机,只须安装一个监听软件,然后就可以坐在机器旁浏览监听到的信息了。 最简单的监听程序包括内核部分和用户分析部分。其中内核部分负责从网络中捕获和过滤数据。用户分析部分负责界面、数据转化与处理、格式化、协议分析,如果在内核没有过滤数据包,还要对数据进行过滤。,8.1.3 网络监听工具,一个较为完整的基于网络监听程序一般包括以下步骤: 数据包捕获; 数据包过滤与分解; 数据分析。,1.数据包捕获,数据包捕获的常用的方法有两种: (1)通过设置硬路由器的监听端口; (2)利用以太网络的广播特性。这种方式必须将网卡设置为混杂模式,监听程序工作在网络环境的底三层,可以拦截所有经过该机器的
10、网络上传送的数据,然后将这些数据做相应处理,可以实时分析这些数据的内容,进而分析网络当前状态和整体布局。,2. 数据包过滤与分解,捕获数据包后要进行的工作是对其进行包过滤与分解,用通俗的语言表达就是在海量的数据里面找我们感兴趣的内容.不好的过滤规则和程序会导致数据包丢失、来不及分析,严重的影响系统的工作效率,甚至导致系统崩溃。,2. 数据包过滤与分解,一些基础的过滤规则如下: (1)站过滤:专门筛选出来自一台主机或者服务器的数据; (2)协议过滤:根据不同的协议来筛选数据,例如:选择TCP数据而非UDP数据; (3)服务过滤:根据端口号来选择特定数据包; (4)通用过滤:通过数据包中某一特定位
11、置开始,选择具有某些共同数据特征的数据包。,2. 数据包过滤与分解,大部分情况下,过滤规则是上面基本规则的组合。有时,为了保证设置的缓冲区不被一些莫名其妙的无效数据溢出,必须在捕获前进行粗过滤,然后在捕获后再进行一次过滤,之后进行分析。 过滤完成后,为了使得缓冲区能处理的包更多,必须进行包分解(Slice),因为数据包最关键的部分在数据包的头部,包分解的原则是对捕获的包按照相应协议规定的数据结构来提取结构中每个字段的数据。,3. 数据分析,数据分析就是对已经捕获的数据包进行各种分析,比如网络流量分析、数据包中信息分析、敏感信息提取分析等,其功能取决于系统要达到的目的。,常见的网络监听工具,8.
12、2通过网络漏洞获取权限,首先要进行漏洞扫描,对前面提到的不同漏洞,都有专门的扫描工具可以很有效地扫描到漏洞。然后是利用相应工具进行入侵,从而获取系统的权限。,8.2通过网络漏洞获取权限,现有的各种操作系统平台都存在着安全隐患,从交换机,路由器使用的网络操作系统到Unix/Linux再到Microsoft操作系统均无一例外,只不过这些平台的安全漏洞类型不同,或者发现时间不同,对系统造成的危害程度不同,也就是说,每一种操作系统平台上都有目前已经被发现的和潜在的各种安全漏洞。 这些漏洞存在的直接后果是允许非法用户未经授权获得访问权限或提高其访问权限,从而可以使非法用户能在未授权情况下访问或破坏系统。
13、,8.3基于网络账号口令破解获取权限,口令破解是网络进攻最基本的方法之一,口令窃取是一种比较简单、低级的入侵方法,但由于网络用户的急剧扩充和人们的忽视,使得口令窃取成为危及网络核心系统安全的严重问题。 口令是系统的大门,网上绝大多数的系统入侵是通过窃取口令进行的。,8.3基于网络账号口令破解获取权限,8.3.1 操作系统的口令管理 8.3.2 破解口令方法 8.3.3 口令破解工具,8.3.1 操作系统的口令管理,每个操作系统都有自己的口令数据库,用以验证用户的注册授权。以WINDOWS和UNIX为例,系统口令数据库都经过加密处理并单独维护存放。,8.3.1 操作系统的口令管理,在WINDOW
14、S NT中,口令数据库存放在winntsys-tem32configsam目录下。 该数据库中没有实际存放用户口令,它只是存放了一个用户口令的单向hash表。操作系统将用户的文本口令转化成Unicode,并使用MD-4生成唯一的单向hash值存入数据库。 当用户登录系统时,工作站将用户口令转化成hash值,然后将该值传给服务器,服务器检查该值是否与口令数据库相符,若匹配成功即完成登录。,8.3.2 破解口令方法,1. 强制口令破解 通过破解获得系统管理员口令,进而掌握服务器的控制权,是黑客的一个重要手段。破解获得管理员口令的方法有很多,下面是3种最为常见的方法。 (1)猜解简单口令; (2)字
15、典攻击; (3)暴力猜解。,8.3.2 破解口令方法,2. 获取口令文件 很多时候,入侵者会仔细寻找攻击目标的薄弱环节和系统漏洞,伺机复制目标中存放的系统文件,然后用口令破解程序破译。目前一些流行的口令破解程序能在7至10天内破译16位的操作系统口令。 以Unix操作系统为例,用户的基本信息都放在passwd文件中,而所有的口令则经过DES加密方法加密后专门存放在shadow文件中,并处于严密的保护之下,但由于系统可能存在缺陷或人为产生的错误,入侵者仍然有机会获取文件,一旦得到口令文档,入侵者就会用专门破解DES加密的方法进行破解口令。,8.3.3 口令破解工具,口令破解的一般过程如下: (1
16、)首先使用一个字典文件,这个文件只是一般的文本文件(明文),它有许许多多的单词(通常称其为单词序列,或者词汇表)。 (2)将这些单词用DES或hash算法加密 。 (3)将加密后的单词与目标口令(加密后的口令)进行比较。如果相同,那么就说明这个口令已经被攻破。 (4)某些破译程序还对词汇表中的单词应用一些规则进行基本逻辑组合筛选,以提高口令破解成功率。,8.3.3 口令破解工具,口令破解工具就是入侵者使用的口令破译程序. 口令破译程序通常采用上述方法,许多入侵事件都与口令窃取有关,目前口令破解的工具越来越简便实用,入侵事件的数量也越来越多。 口令破解程序通常采用字典法、枚举法,或两者结合的方法破解口令。以著名的NT口令攻击工具10phtcrack 为例,它可以采用两种方法破解口令。,8.3.3 口令破解工具,获取到密码之后自然也就获得了相应的网络权限。 关于口令窃取问题,现有两种比较模糊的认识: 一种是口令无忧论,认为如果系统设定了好的口令,如至少有8 个字符长,要有一些非字母字符,就很安全了。 其实不然,采用字典穷举法自动循环猜测用户,理论上只要有足够的时间,入侵者就可以获得
